Requisitos para la autorización de JWT - AWS HealthImaging
Requisitos del OIDCConfigure la validación del token en el almacén de datosFormato de solicitud (HTTP)Reclamaciones JWT requeridas

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Requisitos para la autorización de JWT

Requisitos del OIDC

Para acceder a DICOMweb los recursos de un HealthImaging almacén de datos habilitado para OIDC, una aplicación cliente debe estar autorizada por un proveedor de OAuth identidad (IdP) de OpenID Connect/2.0 y presentar un token de portador OAuth 2.0 (un JWT) en el encabezado de autorización de cada solicitud. HealthImaging valida el token mediante una de las rutas de integración configuradas en el almacén de datos y, a continuación, autoriza la solicitud asumiendo una función de IAM asignada a la persona que llama.

nota

El OIDC aumenta, pero no reemplaza, a SiGv4. Puede seguir usando SiGv4 sin cambios. El OIDC está disponible únicamente para. DICOMweb APIs

Configure la validación del token en el almacén de datos

Elija una ruta de validación al crear (o actualizar) un almacén de datos:

Autorizador Lambda gestionado por el cliente (JWT)

  • LambdaAuthorizerArnProporcionar. HealthImaging invoca su Lambda con el token entrante; su función lo valida y devuelve las notificaciones necesarias más un ARN de rol de IAM que debe asumir.

  • La Lambda debe regresar en 1 segundo.

  • Añada a la función una política basada en recursos que permita la invocación mediante HealthImaging (servicio principal): imágenes médicas. region.amazonaws.com) y, de forma opcional, restringe las llamadas al ARN del almacén de datos.

  • La activación de un autorizador Lambda en un almacén de datos existente requiere un caso de AWS Support.

Formato de solicitud (HTTP)

Envíe el token de acceso en el encabezado de autorización:

Ejemplo de operación Get: Get DICOMInstance

curl --request GET \
  'service endpoint/datastore/datastore/studies/studies/series/series/instances/instances?imageSetId=imageSetId' \
  --header "Authorization: Bearer access token" \
  --header 'Accept: application/dicom; transfer-syntax=1.2.840.10008.1.2.1' \
  --output 'dicom-instance.dcm' \
  --fail-with-body

Reclamaciones JWT requeridas

Para que una DICOMweb solicitud sea aceptada, la token/authorization carga útil efectiva debe contener las siguientes afirmaciones:

  • exp— Vencimiento. La hora actual debe ser anterior a este valor.

  • iat- Emitido el. Debe ser anterior a la hora actual en UTC y NO debe ser anterior a 12 horas antes de la hora actual en UTC (duración máxima del token)